Technologia9 czerwca 2026 | FlexyConsent

Prebid.js Zarządzanie Zgodami: Przewodnik Konfiguracji Header Bidding dla Wydawców

Header bidding zwiększa CPM wydawców, umożliwiając partnerom popytowym równoległą rywalizację — ale każdy z tych partnerów potrzebuje ważnego sygnału zgody, zanim będzie mógł zapisać ciasteczko, pobrać odcisk palca lub uruchomić piksel. Prebid.js, de facto open-source'owy wrapper header bidding używany przez dziesiątki tysięcy stron, jest dostarczany z modułem Zarządzania Zgodami, który łączy Twój CMP z każdą aukcją. Błędna konfiguracja oznacza albo wyciek danych bez zgody (ryzyko regulacyjne), albo pozbawienie licytantów potrzebnego im sygnału (ryzyko przychodów). Ten przewodnik przeprowadza wydawców przez konfigurację na poziomie produkcyjnym.

Dlaczego Prebid.js Potrzebuje Modułu Zarządzania Zgodami

Gdy uruchamiana jest aukcja Prebid.js, wrapper wysyła równoległe żądania do każdego skonfigurowanego adaptera licytanta. Każdy adapter musi uwzględnić ciąg zgody użytkownika w swoim żądaniu oferty — tcfeu (TCF v2.2 dla UE/UK), usp (CCPA/CPRA) i coraz częściej gpp (ciąg IAB Global Privacy Platform obejmujący wiele stanów USA). Bez tych sygnałów downstream SSP i DSP są zmuszane do traktowania użytkownika jako wyłączonego, całkowitego porzucenia oferty lub — w najgorszym przypadku — bezprawnego przetwarzania danych.

Moduł Zarządzania Zgodami Prebid znajduje się między Twoim CMP a potokiem żądań ofert. Wywołuje standardowe API CMP (__tcfapi, __uspapi, __gppapi), czeka na ciąg zgody, a następnie automatycznie wstrzykuje go do ładunku żądania oferty każdego adaptera. Egzekwuje też bramkowanie oparte na celach, gdy włączysz egzekwowanie GDPR, blokując dostęp do pamięci masowej i wykonanie licytanta dla użytkowników, którzy nie udzielili odpowiednich celów TCF.

Instalacja i Konfiguracja Modułu Podstawowego

Prebid.js jest budowany dla każdego wydawcy z docs.prebid.org/download.html. Generując własną kompilację, ważne są trzy moduły w sekcji „Zarządzanie Zgodami":

consentManagementTcf — obsługuje ciągi TCF v2.2 dla ruchu z UE, UK i Szwajcarii.
consentManagementUsp — obsługuje starszy ciąg US Privacy String CCPA/CPRA (nadal wymagany przez wiele DSP).
consentManagementGpp — obsługuje ciąg IAB GPP, przyszłościowy standard wymagany teraz przez Google, TTD i główne SSP.

Dołącz wszystkie trzy, jeśli obsługujesz globalny ruch. Gdy kompilacja trafi na Twój CDN, skonfiguruj moduły w skrypcie konfiguracyjnym Prebid:

Konfiguracja TCF v2.2

Blok TCF informuje Prebid, które API CMP wywołać, jak długo czekać na ciąg i co zrobić po upływie limitu czasu. Typowa konfiguracja produkcyjna ustawia cmpApi: 'iab', timeout: 8000 (8 sekund — wystarczająco długo dla powolnego ładowania banera CMP) i defaultGdprScope: true, aby użytkownicy z nieznanych jurysdykcji byli traktowani jako objęci zakresem do momentu udowodnienia czegoś innego. Oddzielne ustawianie actionTimeout kontroluje, jak długo Prebid czeka, gdy użytkownik nie wchodził jeszcze w interakcję z banerem — utrzymanie go na rozsądnym poziomie zapobiega pustemu slotowi reklamowemu, jeśli odwiedzający zignoruje baner.

US Privacy i GPP

USP jest prosty: włącz moduł, a Prebid odczyta czteroznakowy ciąg z __uspapi. GPP jest bardziej złożony, ponieważ ciąg GPP może zawierać wiele identyfikatorów sekcji (TCF UE, US Krajowy, US Kalifornia, US Kolorado, US Wirginia itp.). Prebid automatycznie przekazuje pełny ciąg, ale licytanci sprawdzają konkretne sekcje. Upewnij się, że Twój CMP emituje poprawne sekcje GPP dla jurysdykcji każdego użytkownika — błędnie skonfigurowany CMP emitujący tylko sekcję US Krajowy do użytkownika z Kalifornii spowoduje, że DSP zgodne z CPRA odrzucą ofertę.

Włączanie Egzekwowania GDPR (Bramkowanie Oparte na Celach)

Domyślnie moduł zgody przekazuje ciąg TCF, ale niczego nie blokuje. Aby Prebid faktycznie egzekwował cele TCF, włącz zestaw reguł gdprEnforcement. Tu właśnie dochodzi do większości błędów konfiguracyjnych — i tu leży różnica między zgodnym a niezgodnym stosem header bidding.

Standardowy zestaw reguł blokuje cztery działania, gdy odpowiedni cel nie ma zgody:

storage — bramkowane na Celu 1 (przechowywanie i dostęp). Gdy odrzucone, Prebid uniemożliwia licytantom odczytywanie i zapisywanie plików cookie i localStorage.
basicAds — bramkowane na Celu 2 (podstawowe reklamy). Gdy odrzucone, licytant jest całkowicie wykluczony z aukcji.
measurement — bramkowane na Celu 7. Wpływa na adaptery analityczne.
transmitPreciseGeo — bramkowane na Specjalnej Funkcji 1. Gdy odrzucone, Prebid usuwa precyzyjną geolokalizację z żądań ofert.

Dla każdej reguły ustawiasz enforcePurpose: true, enforceVendor: true i listę vendorExceptions. Lista wyjątków dla dostawców jest kluczowa: każdy licytant wymieniony na tej liście może uczestniczyć nawet bez wyraźnej zgody dostawcy TCF, na podstawie tego, że posiadasz odrębną podstawę prawną (np. uzasadniony interes połączony z przepływem umownym). Używaj tego oszczędnie — zbyt szerokie wyjątki to dokładnie wzorzec, za który regulatorzy zaczęli karać wydawców grzywnami.

Typowe Pułapki Kosztujące Wydawców Przychody lub Zgodność

Limit czasu ustawiony zbyt nisko

Jeśli timeout jest krótszy niż czas renderowania banera CMP, Prebid kontynuuje bez ciągu zgody. Licytanci traktują to jako brak zgody i odrzucają ofertę. Zmierz opóźnienie pierwszego wywołania tcfapi('addEventListener') Twojego CMP na 95. percentylu i ustaw limit czasu Prebid powyżej tego. 8000 ms to bezpieczna wartość domyślna; 3000 ms jest ryzykowne, jeśli obsługujesz rynki, gdzie banery potrzebują czasu na lokalizację.

Brakująca integracja GPP dla ruchu US

Główne SSP i DSP (Google AdX, TTD, Magnite, PubMatic) wymagają teraz ciągu GPP do egzekwowania rezygnacji w USA. Jeśli emitujesz tylko starszy ciąg USP, te DSP będą coraz częściej obniżać ocenę lub pomijać Twoje zasoby reklamowe. Sprawdź odpowiedzi na oferty: gwałtowny spadek CPM w ruchu US w 2026 roku często sygnalizuje brakujący sygnał GPP.

Nieaktualne ciągi zgody przy nawigacji SPA

Aplikacje jednostronicowe, które ponownie uruchamiają aukcje Prebid przy zmianie tras, muszą wywołać pbjs.refreshUserIds() i upewnić się, że pobierany jest najnowszy ciąg TCF. Buforowany ciąg sprzed 30 minut może zawierać preferencje poprzedniego użytkownika, jeśli Twoja strona używa współdzielonych sesji.

Brakujące vendorExceptions dla analityki

Wydawcy często zapominają, że adaptery Prebid Analytics (Google Analytics, raportowanie po stronie serwera) są również objęte bramkowaniem measurement zgodnie z Celem TCF 7. Jeśli polegasz na nich do raportowania przychodów, wymień je wyraźnie w wyjątkach dostawców reguły pomiaru lub zaakceptuj lukę w danych dla ruchu bez zgody.

Testowanie Konfiguracji przed Produkcją

Prebid.js udostępnia pbjs.getConfig('consentManagement') w konsoli przeglądarki. Sprawdź, czy aktywna konfiguracja odpowiada Twoim zamierzeniom. Następnie użyj rozszerzenia Chrome Prebid.js Professor lub pbjs.getEvents(), aby sprawdzić ciąg zgody dołączony do każdego żądania oferty. Sprawdź trzy scenariusze: użytkownika z pełną zgodą, użytkownika, który kliknął „Odrzuć wszystko" i użytkownika, który zamknął baner bez interakcji. Każdy powinien powodować inne obserwowalne zachowanie w ładunku żądania oferty.

Wykonaj te same testy w różnych lokalizacjach geograficznych za pomocą VPN lub flagi geolokalizacji Twojego CMP. Ruch z UE powinien generować ciąg TCF i uruchamiać gdprEnforcement; ruch z Kalifornii powinien generować ciąg USP i GPP; ruch z nieznanych jurysdykcji powinien respektować Twoje ustawienie defaultGdprScope.

Podsumowanie

Prawidłowo skonfigurowany stos Zarządzania Zgodami Prebid robi trzy rzeczy jednocześnie: dostarcza licytantom ważnych sygnałów zgody (zachowując CPM), egzekwuje reguły rezygnacji TCF i USA na poziomie wrappera (zmniejszając narażenie regulacyjne) i zapewnia jeden punkt audytu, gdy regulator pyta, jak Twoja konfiguracja header bidding honoruje wybory użytkownika. Poświęć czas na świadome ustawienie limitów czasu, włącz GPP obok USP dla ruchu US i kwartalnie sprawdzaj listę vendorExceptions — koszt popełnienia tu błędu mierzy się zarówno grzywnami, jak i utratą programatycznych przychodów.